¿Cuáles son los archivos más comunes para verificar con el software de monitoreo de integridad de archivos?

Debes monitorear (casi) todos los archivos.

Suponiendo que este sistema es solo una base de datos hash, hay algunos archivos que debe omitir:

• todo en / proc (aunque hay un montón de cosas útiles aquí para los cazadores de rootkits)
• archivos de registro (hay herramientas que harán un análisis heurístico de estos archivos)
• archivos que contienen sistemas de archivos (esto incluiría sistemas de archivos de bucle y archivos de base de datos, pero es probable que desee revisar los 'archivos' dentro del archivo).
• espacio de intercambio

(lo difícil es configurar un proceso para auditar los cambios correctamente)

No estoy seguro de qué sistema de monitoreo de integridad de archivos está utilizando, pero la mayoría de los sistemas de monitoreo de integridad de archivos comerciales como Verisys y Tripwire se puede configurar para que "supervise" automáticamente los archivos relevantes.

Por ejemplo, les dice que está ejecutando Windows Server 2008 y Microsoft SQL Server 2008, y luego monitorean los archivos aplicables y las entradas de registro.

Para la plataforma Windows, Microsoft proporciona la utilidad sfc . Verificará la integridad de todos los archivos del sistema o los seleccionados y los reparará si es necesario. Puede verificar sus opciones escribiendo en el símbolo del sistema: sfc /?

Hay un monitor de integridad de archivos de código abierto llamado Mugsy que se envía con una lista de directorios importantes para monitorear para Linux:

- /boot
- /lib
- /lib64
- /sys
- /bin
- /sbin
- /usr/bin
- /usr/sbin
- /usr/local/bin
- /usr/local/etc
- /usr/local/sbin
- /etc

Soy el desarrollador de Mugsy, un plug tan descarado.

Estoy de acuerdo en que todos los archivos deben ser monitoreados, pero puede ser difícil de administrar, por lo que al menos debes comenzar tu monitoreo en algún lugar. Espero que podamos colaborar en una lista estándar de qué monitorear para Linux y Windows o una lista de qué excluir, por ejemplo. Archivos temporales que cambian a menudo.

Además, Mugsy es específico de Linux, pero se podría compilar para Windows.

Hablando como proveedor, nos preguntan esto todo el tiempo; por supuesto, usted desea rastrear la mayor cantidad de sistemas de archivos que pueda para obtener la mejor visibilidad de los cambios, pero cuanto más realice el seguimiento, más "ruido de cambio" es probable que obtenga Trabajamos con el Centro de seguridad de Internet y puede utilizar cualquiera de sus guías de configuración segura de Benchmark para establecer la mejor manera de configurar su host de Linux o Windows para obtener la máxima protección. Todos estos archivos / configuraciones de registro deben ser rastreados por cambios.

Luego están los archivos de programa y sistema. Esto se vuelve más difícil porque hay muchos archivos que cambiarán regularmente durante la operación normal, por ejemplo, los archivos de registro. Por lo tanto, realmente necesita comprender bien cómo se comportan sus aplicaciones en términos de la actividad del sistema de archivos.

La lista de archivos de Linux anterior es un buen lugar para comenzar y hay una lista más larga de rutas / archivos en nuestro sitio web, aunque tenga en cuenta que el monitoreo de comando-salida es más importante en plataformas como Ubuntu (política de contraseñas, para ejemplo).